在澳大利亚,针对消费级物联网(CIoT)设备,政府通过发布《网络安全(智能设备安全标准)规则2025》(Cyber Security (Security Standards for Smart Devices) Rules 2025)来设定安全行为准则,该规则明确了在澳销售的智能设备必须满足的最低网络安全标准,主要约束对象为制造商。以下是该规则的核心内容:
一、核心安全要求
密码安全:
禁止使用通用的默认密码。设备首次启动时必须强制生成唯一密码或采用生物特征认证。
唯一性密码不得基于递增计数器、公开信息或易被猜测的方式生成。
漏洞响应机制:
制造商必须建立7×24小时漏洞报告渠道。
在收到漏洞报告后,必须在48小时内启动应急响应。
更新周期透明化:
制造商必须明确标注安全更新支持期限,且该期限不得低于产品停售后的5年。
若延长支持周期,需及时更新信息。
合规声明制度化:
销售时需提供包含产品型号、制造商信息、符合性声明、定义的支持周期等12项要素的电子声明文件。
合规声明必须保存至少5年。
二、实施与监管
实施时间表:
该规则于2025年3月5日发布,并将于2026年3月4日生效。
制造商和分销商有一年的时间来确保合规性。
监管措施:
澳大利亚通信媒体管理局(ACMA)将负责监管和认证工作。
未通过ACMA认证的设备将禁止进口。
市场抽检阶段将每季度随机测试10%的流通设备。
违规处罚:
违规企业将面临最高处以产品销售额4%的罚款,或被列入政府采购黑名单。
三、影响与意义
提高市场准入门槛:
新规将促使企业提升产品安全水平,以满足澳大利亚市场的准入要求。
改变设备设计逻辑:
制造商需重构固件安全架构,增加技术研发和合规成本。
例如,采用硬件级可信执行环境(TEE)和区块链溯源技术等。
推动全球标准趋同:
澳大利亚与欧盟ETSI、美国NIST启动互认谈判,有望推动全球物联网安全标准趋同。
这将对全球智能设备安全领域产生深远影响。
